Brasilianischer Trojaner kapert WhatsApp, um Krypto-Phishing zu verbreiten

Sicherheitsforscher von Elastic Security Labs haben einen neuen brasilianischen Banking-Trojaner namens TCLBANKER entdeckt. Nach der Infektion eines Rechners übernimmt dieser die Kontrolle über die WhatsApp- und Outlook-Konten des Opfers und versendet Phishing-Nachrichten an dessen Kontakte.

Die Kampagne trägt die Bezeichnung REF3076. Aufgrund gemeinsamer Infrastruktur- und Code-Muster haben Forscher TCLBANKER mit der zuvor bekannten Malware-Familie MAVERICK/SORVEPOTEL in Verbindung gebracht.

Trojaner verbreitet sich über einen KI-gestützten Prompt-Generator

Elastic Security Labs zufolge verbreitet sich die Schadsoftware als manipulierter Installer für Logi AI Prompt Builder, eine echte, signierte Logitech-Anwendung. Der Installer liegt als ZIP-Datei vor und nutzt DLL-Sideloading, um eine schädliche Datei auszuführen, die wie ein Flutter-Plugin.

Nach dem Laden führt der Trojaner zwei durch .NET Reactor geschützte Nutzlasten aus. Die eine ist ein Banking-Modul, die andere ein Wurmmodul zur Selbstverbreitung.

Nach dem Laden installiert der Trojaner zwei durch .NET Reactor geschützte Nutzlasten. Eine davon ist ein Banking-Modul, die andere ein Wurmmodul, das sich selbst verbreiten kann.

Anti-Analyse-Prüfungen blockieren Forscher

Der vom Loader von TCLBANKER erstellte Fingerabdruck besteht aus drei Teilen.

1. Anti-Debugging-Prüfungen.
2. Informationen zu Festplatte und Arbeitsspeicher.
3. Spracheinstellungen.

Der Fingerabdruck generiert die Entschlüsselungsschlüssel für die eingebettete Nutzlast. Sollte etwas schiefgehen, beispielsweise ein Debugger angeschlossen sein, eine Sandbox-Umgebung verwendet werden oder der Speicherplatz knapp sein, liefert die Entschlüsselung fehlerhafte Daten, und die Malware beendet sich ohne Fehlermeldung.

Der Loader patcht außerdem Windows-Telemetriefunktionen, um Sicherheitstools zu umgehen. Er erstellt direkte Systemaufruf-Trampolinen, um Benutzermodus-Hooks zu vermeiden.

Ein Überwachungssystem sucht permanent nach Analysesoftware wie x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker und Frida. Wird eines dieser Tools gefunden, wird die Payload abgeschaltet.

Das Bankmodul wird nur auf brasilianischen Computern aktiviert

Das Banking-Modul wird auf Computern in Brasilien aktiviert. Es finden mindestens zwei Geofencing-Prüfungen statt, die Regionscode, Zeitzone, Systemgebietsschema und Tastaturlayout berücksichtigen.

Die Schadsoftware liest die aktive URL-Leiste des Browsers mithilfe der Windows-UI-Automatisierung aus. Sie funktioniert in vielen Browsern wie Chrome, Firefox, Edge, Brave, Opera und Vivaldi und überwacht jede Sekunde die aktive(n) URL(s).

Die Schadsoftware gleicht die URL anschließend mit einer Liste von 59 verschlüsselten URLs ab. Diese Liste enthält Links zu Krypto-, Bank- und Fintech-Websites in Brasilien.

Besucht ein Opfer eine der angegriffenen Webseiten, öffnet die Schadsoftware eine WebSocket-Verbindung zu einem entfernten Server. Der Hacker erhält dadurch die vollständige Fernsteuerung des Computers.

Sobald der Zugriff gewährt ist, nutzt der Hacker ein Overlay, das ein rahmenloses, oberstes Fenster über jedem Monitor einblendet. Dieses Overlay ist auf Screenshots nicht sichtbar, und die Opfer können ihre Ansicht nicht mit anderen teilen.

Das Hacker-Overlay verfügt über drei Vorlagen:

• Eindentzur Erfassung von Anmeldeinformationen mit einer gefälschten brasilianischen Telefonnummer.
• Ein gefälschter Windows-Update-Fortschrittsbildschirm.
• Ein „Vishing-Wartebildschirm“, der die Opfer beschäftigt hält.

Bösartige Bots verbreiten den brasilianischen Trojaner über WhatsApp und Outlook

Die zweite Nutzlast verbreitet TCLBANKER auf zwei Wegen an neue Opfer:

• WhatsApp Web-App.
• Outlook-Postfächer/Konten.

Der WhatsApp-Bot sucht in Chromium-Browsern nach aktiven WhatsApp-Web-Sitzungen, indem er die lokalen Datenbankverzeichnisse der App aufspürt.

Der Bot klont das Browserprofil und startet anschließend eine Headless-Chromium-Instanz. „Ein Headless-Browser ist ein Webbrowser ohne grafische Benutzeroberfläche“, so Wikipedia. Anschließend schleust er JavaScript ein, um die Bot-Erkennung zu umgehen und die Kontakte des Opfers zu sammeln.

Zum Schluss versendet der Bot Phishing-Nachrichten, die den TCLBANKER-Installer enthalten, an die Kontakte des Opfers.

Der Outlook-Bot stellt die Verbindung über die COM-Automatisierung (Component Object Model) her. Die COM-Automatisierung ermöglicht es einem Programm, ein anderes Programm zu steuern.

Der Bot entnimmt E-Mail-Adressen aus dem Ordner „Kontakte“ und dem Posteingangsverlauf und versendet dann Phishing-E-Mails über das Konto des Opfers.

Die E-Mails haben den Betreff „NFe disponível para impressão“, was auf Deutsch „tronRechnung zum Ausdrucken verfügbar“ bedeutet. Sie verlinken auf eine Phishing-Domain, die sich als brasilianische ERP-Plattform ausgibt.

Da die E-Mails von echten Konten versendet werden, ist die Wahrscheinlichkeit höher, dass sie Spamfilter umgehen.

Letzte Woche Cryptopolitan dass Forscher ,dentvier Android-Trojaner identifiziert die mit gefälschten Anmelde-Overlays auf über 800 Krypto-, Bank- und Social-Media-Apps abzielen.

In einem anderen Berichtwird berichtet, dass eine Schadsoftware namens StepDrainer mithilfe gefälschter Web3-Wallet-Verbindungsschnittstellen Wallets in über 20 Blockchain-Netzwerken leert.